使用 TLS 1.3 加密 MongoDB Client 与 Server 端的网络流量

已于 2024-07-03 19:18:11 修改
阅读量826 收藏 6
点赞数 25
分类专栏: MongoDB 文章标签: mongodb 数据库 运维
于 2024-07-01 15:36:30 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/gumc123/article/details/140102468
版权

MongoDB-加密传输.gif
使用 tls 1.3 对 MongoDB client 与 server 端的网络通信进行加密,主要步骤:

1》创建自签名根证书 ca.crt

2》生成 client 及 server 端证书

3》mongod 进程配置 server 和 ca 证书

4》mongosh 指定 client 和 ca 证书

环境介绍:

1》Rocky Linux release 8.9 (kernel 4.18.0)

2》MongoDB version 7.0.11,mongosh version 2.2.10

3》服务器端 IP: 192.168.31.13,客户端 IP:192.168.31.10

4》要使用 tls 1.3 加密网络传输,需确保 OpenSSL 至少为 1.1.1 版本

具体配置流程如下:

证书配置模板

cat server/client.conf

[req]
distinguished_name = req_distinguished_name
req_extensions = req_ext

[req_distinguished_name]
countryName = CN
stateOrProvinceName = SiChuan
localityName = Chengdu
organizationName = JiaWen
organizationalUnitName = Ops
commonName = SERVER            # 名称任意,表示服务端证书。创建 Client 证书时设置为 CLIENT

[req_ext]
subjectAltName = @alt_names

[alt_names]
IP.1 = 192.168.31.13        # Sever 所在主机 IP 地址,创建 Client 证书时需变更为 31.10

创建根证书

首先生成自签名根证书,用于签发 server 及 client 证书

# 生成 ca 证书私钥 ca.key
openssl genrsa -aes256 -out ca.key 2048

# 生成 ca 证书签名请求文件 ca.csr
openssl req -new -sha256 -key ca.key -out ca.csr -subj "/C=CN/ST=SiChuan/L=Chengdu/O=JiaWen/OU=Ops/CN=CA"

# 创建自签名根证书文件 ca.crt
openssl x509 -req -days 365 -in ca.csr -signkey ca.key -out ca.crt

创建服务器证书

# 生成 Server 证书私钥及请求文件
openssl genrsa -out server.key 2048

# 生成服务器证书签名请求文件 server.csr
# 注意:配置项 -extensions 'req_ext' 需与证书配置模板中的 [req_ext] 匹配
openssl req -new -key server.key -out server.csr -subj "/C=CN/ST=SiChuan/L=Chengdu/O=JiaWen/OU=Ops/CN=SERVER" -config server.conf -extensions 'req_ext'

# 使用根证书签发服务器证书
openssl x509 -req -days 365 -in server.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out server.crt -extfile server.conf -extensions 'req_ext'

# 合并服务器端私钥和服务器端证书,生成 server.pem
cat server.key server.crt > server.pem

创建客户端证书

# 生成 Client 证书私钥及请求文件
openssl genrsa -out client.key 2048

# 生成客户端证书签名请求文件 client.csr
openssl req -new -key client.key -out client.csr -subj "/C=CN/ST=SiChuan/L=Chengdu/O=JiaWen/OU=Ops/CN=CLIENT" -config client.conf -extensions 'req_ext'

# 使用根证书签发客户端证书
openssl x509 -req -days 365 -in client.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out client.crt -extfile client.conf -extensions 'req_ext'

# 合并客户端私钥和客户端证书,生成 client.pem
cat client.key client.crt > client.pem

效验 pem 文件、查看证书信息 (可选)

openssl verify -CAfile ca.crt server.pem
#> server.pem: OK

# 查看证书详细信息
openssl x509 -text -noout -in /root/ssl/server.pem

Server 端配置

# cat /etc/mongod.conf
net:
   tls:
      mode: requireTLS      # 仅使用并接受 TLS 加密连接
      certificateKeyFile: /var/lib/mongo/server.pem      # 包含 TLS/SSL 证书和密钥的文件的路径
      CAFile: /var/lib/mongo/ca.crt
      disabledProtocols: TLS1_0,TLS1_1,TLS1_2       # 确保仅使用 tls 1.3

未加密连接

Client 端使用 mongosh 连接 mongod 执行数据插入

db.c1.insert({name: "jiawen", age: "29"})

wireshark 抓包截图如下:

mongodb 未加密流量.png
可发现数据为明文,毫无安全可言…☠️

加密连接

1、使用 mongosh 连接 mongodb server

# ca.crt 签发 server 及 client 端证书的自签名根证书
mongosh --tls --host 192.168.31.13 --tlsCAFile /root/ssl/ca.crt --tlsCertificateKeyFile /root/ssl/client.pem

2、mongodb server 端 tls 连接日志

{.., "msg":"Connection accepted","attr":{"remote":"192.168.31.10:33168","uuid":{"uuid":{"$uuid":"f1e42096-557f-459e-9c5c-cd2d07b21b62"}},"connectionId":69,"connectionCount":1}}
{.., "msg":"Ingress TLS handshake complete","attr":{"durationMillis":11}}
{.., "msg":"Accepted TLS connection from peer","attr":{"peerSubject":"CN=CLIENT,OU=Ops,O=JiaWen,L=Chengdu,ST=SiChuan,C=CN","cipher":"TLS_AES_256_GCM_SHA384"}}

3、wireshark 抓包验证流量加密

MongoDB 加密流量.png
可发现数据已加密,从而确保数据的网络传输安全

码字不易,若觉得本文对你有用,欢迎点赞 👍、分享 🚀 ,相关技术热点时时看🔥🔥🔥​​​…

JiaWen技术圈
关注
  • 25
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
MongoDB连接指南:从基础到进阶
欢迎来到技术蜜糖罐的IT角落!
04-18 1371
MongoDB是一个灵活且功能强大的NoSQL数据库,连接到MongoDB可以通过多种方式实现。本文介绍了使用Mongo Shell、MongoDB驱动程序(如PyMongo)、连接字符串等方法来连接MongoDB,并提供了基本的Mongo Shell命令进行数据库操作。通过这些方法,你可以轻松地连接MongoDB并开始进行数据的增删改查操作,为你的应用程序提供可靠的数据存储解决方案。
MongoDB分布式集群升级使用TLS/SSL
逝无痕——kaidy
08-12 2304
文章目录生成证书建立CA目录结构生成根证书生成服务器端证书生成客户端证书MongoDB集群配置将根证书、服务端证书分发到MongoDB集群各节点修改MongoDB集群各节点配置,并重启节点配置所有client使用TLS/SSL配置集群各节点到其它节点的连接使用TLS/SSL配置集群各节点拒绝非TLS/SSL的连接请求修改集群各节点启动配置文件,确保节点重启后使用TLS/SSL 生成证书 在使用SS...
mongodb开启SSL传输加密
01-25
包含mongodb开启SSL传输加密所需要的库,文档中详细说明了如何使用和配置,以及如何开启mongo用户加密
Linux 中使用 docker-compose 部署 MongoDB 6 以上版本副本集及配置 SSL / TLS 协议
weixin_43322048的博客
02-23 1742
docker-compose 部署 MongoDB 6 版本以上副本集,并实现 SSL / TLS 加密认证和 Client 连接相关配置。
docker-compose 部署 MongoDB 6 版本以上分片集群及配置 SSL / TLS 认证
weixin_43322048的博客
02-28 1644
MongoDB 6.0 最新版本分片集群部署及配置 SSL / TLS 认证,全面介绍了分片方案带来的好处以及海量数据的存储。
Wireshark解密TLSv1.3加密流量
热爱学习,喜欢折腾!
03-23 2533
Wireshark(前称Ethereal)是一个网络封包分析软件。网络封包分析软件的功能是截取网络封包,并尽可能显示出最为详细的网络封包资料。Wireshark使用WinPCAP作为接口,直接与网卡进行数据报文交换。在过去,网络封包分析软件是非常昂贵的,或是专门属于盈利用的软件。Ethereal的出现改变了这一切。在GNUGPL通用许可证的保障范围底下,使用者可以以免费的途径取得软件与其源代码,并拥有针对其源代码修改及客制化的权利。Ethereal是全世界最广泛的网络封包分析软件之一。
mongodb生成自签名证书以及配置SSL以及mongo集群搭建(亲测有效)版本-5.0.6
HappyLearnerL的博客
04-09 5745
mongodb生成自签名证书以及配置SSL(亲测有效一、自签名证书生成1、生成根证书ca.pem2、生成服务器端PEM文件3、验证自签名证书是否成功二 、mongodb SSL配置1、将生成的ca.pem和server.pem放置到mongodb的目录下2、mongd.conf ssl 相关配置3、重新启动mongo服务三、通过客户端连接服务器1、连接命令如下:2、数据库初始化,设置为主模式四、mongodb 数据库集群搭建1、复制mongo文件两份,分别为mongodb1、mongodb22、按下图分别修
chat_client_server.zip_comm
09-22
综上所述,"chat_client_server.zip_comm"提供的内容可能涵盖了客户端与服务器通信的多个关键点,包括网络协议、数据交换格式、安全性、编程语言和框架、以及系统架构。通过深入学习这份文档,我们可以更好地理解和...
TMM-Server_And_Client
05-17
在TMM-Server_And_Client项目中,Java被用于编写服务器端和客户端的应用程序代码。 2. **Android开发**:项目描述中提到了"Android投票板",这意味着客户端部分是针对Android设备设计的。Android开发涉及使用...
Server_Client.zip
12-07
在IT行业中,服务器和客户端(Server-Client)架构是一种常见的交互模式,广泛应用于网络应用程序设计。"Server_Client.zip"这个文件很可能包含了一套简单的服务器-客户端应用实例,或者是用于演示或学习这种架构的...
MongoDB-C++-Driver3.2.rar
05-12
安全方面,MongoDB-C++-Driver支持SSL/TLS加密,确保数据传输的安全性。同时,它还支持认证机制,如SCRAM-SHA-1和MONGODB-X509,确保只有授权用户才能访问数据库。 最后,驱动还提供了日志记录和错误处理功能,帮助...
MongoDB 详解,超全!!!
最新发布
m0_72410588的博客
07-25 9543
MongoDB是一个开源的文档型数据库管理系统,采用BSON(Binary JSON)格式存储数据。它使用灵活的文档模型代替传统的表格模型,可以方便地存储和查询半结构化的数据。MongoDB的设计目标是轻松扩展和高性能,适用于需要处理大量数据和高并发请求的场景。通过总结实际项目中的经验和教训,可以得出一些最佳实践和优化建议。例如,选择合适的硬件配置和部署方案,规划好数据模型和索引策略,定期维护和监控数据库性能等。
Navicat连接MongoDB数据库报错TLS连接失败
null401的博客
12-11 1237
Navicat连接MongoDB数据库报错TLS连接失败
如何使用wireshark分析mongodb协议,windows 源码编译 wireshark-3.4.7
李江林的博客
04-17 4178
MongoClient添加连接配置信息
qq_51096974的博客
10-14 1253
MongoClient添加连接配置信息
自建MongoDB实践:MongoDB 安全加密
NewTyun的博客
03-30 1019
新钛云服已累计为您分享736篇技术干货接下来的一些列文章会为大家介绍日常工作中常用的 NoSQL 产品 MongoDB。主要涉及到:MongoDB 的安装及基本使用MongoDB 文档查询MongoDB 复制集MongoDB 分片集群的介绍及搭建MongoDB 安全加密MongoDB 诊断‍‍‍‍MongoDB Change Stream 备份及恢复‍‍MongoDB 其他我们会用八篇文章近五万字...
springBoot配置文件设置mongodb连接密码加密
薛定谔的英短的博客
06-25 2882
springBoot配置文件设置mongodb连接密码加密方案实践pom文件引入依赖application.yml文件中定义加密的秘钥定义main函数测试加解密把加密后的密码放置到MongoDB的properties配置文件中新增MongoDB配置文件springBoot启动类上把自动加载的MongoDB配置类排除启动测试 方案 1、对明文密码加密 2、自定义MongoDB配置文件,在获取密码的时候解密。 实践 pom文件引入依赖 <dependency> <groupId>c
MongoDB开启单节点以支持事物,并开启用户密码连接
nightingale1985的博客
08-14 1783
MongoDB如何启用事务及开启账号密码连接。
quic如何使用tls1.3加密
06-02
QUIC(Quick UDP Internet Connections)协议是基于UDP协议的新一代互联网传输协议,它使用TLS 1.3加密来保护通信过程中的数据安全。 QUIC协议中的TLS 1.3加密过程包括以下几个步骤: 1. 客户端向服务器发送初始连接请求,并包含了自己支持的加密套件列表和随机数(ClientHello消息)。 2. 服务器收到客户端的连接请求后,向客户端发送自己的支持的加密套件列表、证书和随机数(ServerHello消息)。 3. 客户端验证服务器的证书,并生成一个支持的密钥交换算法(ECDHE)的密钥对,并将公钥发送给服务器(ClientKeyExchange消息)。 4. 服务器生成自己的密钥对,使用客户端发送过来的公钥和自己的私钥计算出共享密钥,并将公钥发送给客户端(ServerKeyExchange消息)。 5. 客户端和服务器使用共享密钥进行加密和解密通信数据,同时使用HMAC-SHA256算法对数据进行完整性保护和认证。 6. 客户端和服务器在通信过程中会定期发送心跳包(Keep-Alive消息),以保持连接状态和防止连接超时。 总之,QUIC协议中使用TLS 1.3加密来保护通信过程中的数据安全,采用先进的加密算法和密钥交换协议,可以有效地防止黑客攻击、窃听和数据泄露等安全问题。同时,QUIC协议中的加密过程是自动完成的,对用户来说是无感知的,不会影响用户体验。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值